Prawdopodobny wyciek danych klientów Śląsk Data Center. Świeże aktualizacje od Microsoftu i Adobe. Przegląd cyberbezpieczeństwa - 13.01.2016

• Na adresy byłych i obecnych klientów firmy hostingowej Śląsk Data Center przychodzą złośliwe e-maile udające faktury od tego właśnie dostawcy. Eksperci przypuszczają, że mogło dojść do wycieku bazy danych klientów - zob. Zaufana Trzecia Strona, Możliwy wyciek danych i atak na klientów Śląsk Data Center oraz Niebezpiecznik, Uwaga klienci Śląsk DATA CENTER , wyciekły wasze adresy e-maile (co najmniej)


• Jak w każdy drugi wtorek miesiąca Microsoft opublikował biuletyny zabezpieczeń, łatając 25 luk w różnych produktach. Aż 6 spośród 9 wydanych aktualizacji uzyskało status krytycznych - zob. Microsoft Security Bulletin Summary for January 2016, warto też zajrzeć do tabeli sporządzonej przez Internet Storm Center: January 2016 Microsoft Patch Tuesday


• Adobe w tym miesiącu opublikował tylko jeden biuletyn, usuwając 17 luk w programach Acrobat i Reader - zob. Adobe, Security Updates Available for Adobe Acrobat and Reader, z firmowego bloga można się też dowiedzieć, że wersje X tych programów nie będą już dłużej wspierane: Adobe Acrobat X and Adobe Reader X End of Support


• Aplikacja mobilna OLX na Androida, na skutek błędu, w niektórych przypadkach pozyskuje token sesyjny właściciela danego ogłoszenia, umożliwiając tym samym dostęp do konta ofiary - zob. Niebezpiecznik, Błąd w OLX.pl pozwala na przejęcie konta użytkownika (aplikacją mobilną na Androida)


• Jak wynika z obszernej analizy przygotowanej przez Palo Alto Networks, ponad 2 tys. stron w domenie PL zostało zainfekowanych przy użyciu popularnego exploit packa Angler - zob. Palo Alto Networks, Angler Exploit Kit Continues to Evade Detection: Over 90,000 Websites Compromised


• O kompromitacji Junipera wiedzą już chyba wszyscy. Jego konkurent - Fortinet - też niestety nie ma się czym chwalić - zob. Ars Technica, Et tu, Fortinet? Hard-coded password raises new backdoor eavesdropping fears


• Turecki sąd nie patyczkuje się z przestępcami komputerowymi - ostatnio jednemu z nich wymierzył karę 334 lat więzienia - zob. ZDNet, Turkish hacker receives record 334 years in prison over data theft


• Luka typu XSS zagrażała użytkownikom serwisu eBay - zob. MLTs blog, A tale of eBay XSS and shoddy incident response, stanowisko eBaya w tej sprawie publikuje ZDNet: Simple eBay security flaw exposed millions of users to spear phishing campaigns


• Twórcy szkodnika Android.Bankosy wyposażyli go w możliwość podsłuchiwania połączeń głosowych generowanych przez systemy dwuskładnikowego uwierzytelniania - zob. Symantec, Android.Bankosy: All ears on voice call-based 2FA


• Rzut oka na to, jak brazylijskich cyberprzestępcy szkolą się w swojej sztuce - zob. Trend Micro, Think, Learn, Act – Training for Aspiring Cyber Criminals in the Brazilian Underground

Zapraszam do czytania i komentowania, a jeśli sami natraficie w internecie na ciekawy, aktualny lub ponadczasowy artykuł dotyczący bezpieczeństwa, prześlijcie mi do niego link na adres anna@di24.pl - postaram się go zamieścić w następnym przeglądzie wydarzeń.